後來有想到是否為ESET防毒軟體的可能,因為筆電/桌機使用相同的防毒軟體,但筆電並沒有每次都開機(或連內網),也就不會保持最新的更新,不知道是否讓防毒軟體產生較高的防護(?)
總之後來有發現真的是ESET的「SSL/TLS通訊協定過濾」的功能在擋,將之停用就好,這問題也就解決了
------------------------------------------
不過由於組織內的ESET防毒系統是採用大量授權版本,用戶端不易自行允許變更/調整設定,統一由組織內的ESMC伺服器做原則控管,不過只要將「SSL/TLS通訊協定過濾」的功能停用,其原則就會立即派送下去,這樣Enpoint端就會都停用該功能、個別用戶也無法做設定。
▲ESMC(舊版則是ERA)主控台,在用戶端原則調整設定即可
▲ESMC統一原則調整後,Endpoint用戶端就會無法自行調整設定
但接下來衍伸的問題就來了:
這個功能可以不啟用,則可由用戶端自行設定(但管理者如有設定密碼,則使用者仍需個別要找管理者輸入、設定,如果這樣的需求/案例很多,就會很麻煩)
如果從伺服器端ESMC統一設定的話,當然IT人員仍必須基於資安考量,要評估這個功能是否有必要從ESMC主控台來停用了。
(當然頭端有個防火牆,本身就已經有做到這些,ESMC自然就可以將剛功能停用囉! )
沒有留言:
張貼留言